As piores falhas de segurança, falhas e erros de segurança em 2012

Um idiota e seu frágil p @ $$ w0rd estão enraizados em breve, mas se 2012 provou alguma coisa, é que mesmo as almas mais cautelosas e com segurança precisam dobrar em suas práticas de proteção, e pense sobre as melhores maneiras de mitigar os danos se o pior acontecer em nosso mundo cada vez mais conectado à nuvem.

Uma caixa de ferramentas de segurança sólida deve formar o núcleo de sua defesa, é claro, mas você também precisará para considerar seu comportamento básico. Por exemplo, uma senha perdida no LinkedIn causa pouco dano se essa combinação alfanumérica específica abrir apenas a porta para essa conta em particular, em vez de cada conta de mídia social que você usa. A autenticação de dois fatores pode interromper uma violação antes que aconteça. E suas senhas são horríveis?

Não estou tentando assustá-lo. Em vez disso, estou interessado em abrir seus olhos para os tipos de precauções que são necessárias na era digital, como evidenciado pelas maiores façanhas de segurança, erros e falhas de 2012. "Foi um ano marcante para os bandidos.

[Leitura adicional: Como remover malware do seu PC com Windows]

Honan hack attack

O desastre de Honan foi ampliado por sua falta de backups físicos.

O hack mais alto de 2012 não envolveu milhões de usuários ou uma avalanche de informações de pagamento roubadas. Não, o destaque da segurança - ou é tão pouco? - de 2012 foi o hacking épico de um homem solteiro: Mat Honan, escritor da Wired.

Ao longo de uma única hora, hackers conseguiram acesso à conta da Honan na Amazon, deletaram seu Google conta, e remotamente limpou seu trio de dispositivos da Apple, culminando com os hackers, em última análise, alcançar seu objetivo final: aproveitando o controle do Twitter do Honan. Por que toda a destruição? Porque o status de três letras do @mat Twitter handle aparentemente faz dele um prêmio altamente cobiçado. (Os descontentes postaram vários tweets racistas e homofóbicos antes de a conta ser temporariamente suspensa.)

A devastação foi toda possível graças a confusões de segurança nas contas críticas de encadeamento em cadeia de Honan, uma falta de ativação de autenticação de dois fatores, usando o O mesmo esquema básico de nomeação em várias contas de e-mail e protocolos de segurança de contas conflitantes na Amazon e na Apple, que os hackers aproveitaram com a ajuda de uma boa e velha engenharia social.

A parte mais assustadora? A maioria das pessoas provavelmente emprega as mesmas práticas de segurança básica (leia-se: lax) que Honan fez. Felizmente, o PCWorld já explicou como conectar as maiores falhas de segurança digital.

O vírus Flame

O vírus Flame recebe seu nome de seu código.

Rastreado desde 2010, mas descoberto apenas em maio de 2012 O vírus Flame tem uma notável semelhança com o vírus Stuxnet, patrocinado pelo governo, com uma base de código complexa e um uso primário como ferramenta de espionagem em países do Oriente Médio como Egito, Síria, Líbano, Sudão e (mais freqüentemente) Irã.

Uma vez que o Flame afundou seus ganchos em um sistema, ele instalou módulos que poderiam, entre outras coisas, gravar conversas no Skype ou áudio de qualquer coisa que acontecesse perto do computador, capturar capturas de tela, bisbilhotar conexões de rede e manter registros de todos os pressionamentos de tecla e quaisquer dados. entrou em caixas de entrada. É desagradável, em outras palavras - e o Flame carregou todas as informações que coletou para comandar e controlar os servidores. Logo depois que os pesquisadores da Kaspersky descobriram a existência do Flame, os criadores do vírus ativaram um comando para eliminar o software dos computadores infectados. A ferramenta de US $ 50 que abre as portas do hotel na conferência Black Hat Security, em julho, o pesquisador Cody Brocious desvelou um dispositivo que poderia semi-fiabilmente abrir fechaduras eletrônicas feitas pela Onity. As fechaduras da Onity são encontradas em 4 milhões de portas em milhares de hotéis em todo o mundo, incluindo redes de alto perfil como Hyatt, Marriott e IHG (proprietária do Holiday Inn e do Crowne Plaza). Baseada em torno de um microcontrolador Arduino e montada por menos de US $ 50, a ferramenta pode ser construída por qualquer bandido com trocas de bolso e algumas habilidades de codificação, e há pelo menos um relato de uma ferramenta semelhante sendo usada para invadir quartos de hotéis no Texas. >ArduinoArduino: O coração de código aberto do hack.

Coisas assustadoras, com certeza. Talvez mais preocupante tenha sido a resposta da Onity à situação, que era basicamente "Coloque um plug na porta e mude os parafusos".

A empresa acabou desenvolvendo uma solução real para a vulnerabilidade, mas envolve trocar as placas de circuito dos afetados. bloqueios e Onity se recusa a arcar com os custos para fazê-lo. Um relatório da ArsTechnica de dezembro sugere que a empresa pode estar mais disposta a subsidiar os conselhos de substituição após a onda de crimes do Texas, embora em novembro de 2001 a Onity tivesse fornecido apenas um total de 1,4 milhão de soluções para fechaduras. "-incluindo esses plugues de plástico-para hotéis globalmente. Em outras palavras, a vulnerabilidade ainda é muito difundida. Epic fail

Morte por mil cortes

O ano não viu uma enorme quebra de banco de dados na veia da PlayStation Network de 2011, mas uma série de pequenas penetrações chegou rápida e furiosa durante toda a primavera e o verão.. Embora o lançamento de 6,5 milhões de senhas do LinkedIn possa ter sido o mais notável, ele foi impulsionado pela publicação de mais de 1,5 milhão de senhas eHarmony com hash, 450.000 credenciais de login do Yahoo Voice, um número não especificado de senhas de Last.fm e o total informações de login e perfil de centenas de usuários do fórum da Nvidia. Eu poderia continuar, mas você começa o ponto

Qual é o takeaway? Você não pode confiar em um site para manter sua senha segura, então você deve usar senhas diferentes para sites diferentes para minimizar o possível dano se os hackers conseguirem decifrar suas credenciais de login para uma determinada conta. Confira nosso guia para criar uma senha melhor se precisar de algumas dicas. ^{O Dropbox descarta seu protetor} O logotipo "open box" do DropboxDropbox provou ser verdadeiro demais para as pessoas que reutilizaram senhas em 2012.

Alguns usuários do Dropbox começaram a perceber que estavam recebendo uma grande quantidade de spam em suas caixas de entrada. Depois de algumas negativas iniciais, seguidas de algumas investigações mais profundas, o Dropbox descobriu que hackers haviam comprometido a conta de um funcionário e conseguiram acesso a um documento contendo endereços de e-mail de usuários. Opa! O dano foi menor, mas o ovo na cara era maior.

Ao mesmo tempo, um número muito pequeno de usuários tinha suas contas do Dropbox ativamente invadidas por fontes externas. As investigações revelaram que os hackers conseguiram acessar as contas porque as vítimas estavam reutilizando a mesma combinação de nome de usuário / senha em vários sites. Quando as credenciais de login vazaram em uma violação em outro serviço, os hackers tinham tudo o que precisavam para desbloquear as contas do Dropbox.

Os problemas do Dropbox destacam novamente a necessidade de usar senhas separadas para diferentes serviços, bem como o fato de você não pode confiar na nuvem completamente ainda. Você pode ter a segurança na nuvem em suas próprias mãos com a ajuda de uma ferramenta de criptografia de terceiros.

Milhões de SSNs da Carolina do Sul roubados

Falando em criptografia, seria bom se o governo seguisse os princípios básicos de segurança. Depois de uma enorme violação de dados em outubro resultou em um hacker obter os números de seguridade social de 3,6 milhões de cidadãos da Carolina do Sul - em um estado com apenas 4,6 milhões de habitantes! - as autoridades estaduais tentaram colocar a culpa aos pés do IRS. O IRS não

especificamente

exige que os estados criptografem os SSNs nos registros fiscais, você vê. Então a Carolina do Sul não - embora planeje começar agora, retrospectiva sendo 20/20 e todos.

Do lado positivo, os detalhes do cartão de crédito e débito de 387.000 cidadãos da Carolina do Sul também foram roubados no roubo digital e

a maioria

dos que foram criptografados, embora seja pouco consolo para as 16.000 pessoas cujos detalhes do cartão foram roubados em texto puro.

A enorme falha de segurança do Skype Os procedimentos de recuperação de conta Lax ameaçaram os usuários do Skype Novembro: Em novembro, os usuários do Skype perderam temporariamente a capacidade de solicitar uma redefinição de senha para sua conta depois que os pesquisadores identificaram uma exploração que permitia a qualquer pessoa ter acesso a uma conta do Skype, contanto que a pessoa soubesse o endereço de e-mail associado à conta.. Não é a senha da conta, nem as questões de segurança - apenas o simples endereço de e-mail sozinho.

O Skype rapidamente ligou o buraco quando chamou a atenção do público, mas o estrago já havia sido feito. A vulnerabilidade estava flutuando em fóruns russos e sendo usada ativamente na natureza antes de ser fechada. Hackers roubam 1,5 milhão de números de cartões de crédito Em abril, hackers conseguiram "exportar" 1,5 milhão de números de cartões de crédito. do banco de dados da Global Payments, um serviço de processamento de pagamentos usado por agências governamentais, instituições financeiras e cerca de 1 milhão de lojas globais, entre outros.

Felizmente, a violação foi bem contida. A Global Payments foi capaz de identificar os números de cartão afetados pelo hack, e os dados roubados continham apenas os números de cartões e datas de vencimento reais,

não

quaisquer nomes de portadores de cartão ou informações pessoalmente identificáveis. Os hits continuaram chegando, no entanto. Em junho, a Global Payments anunciou que hackers podem ter roubado as informações pessoais de pessoas que solicitaram uma conta de comerciante na empresa.

Microsoft Security Essentials falha a certificação AV-Test

Bem, isso não é embaraçoso. O AV-Test é um instituto de segurança da informação independente que reúne regularmente todos os principais produtos antimalware que existem, lança um monte de coisas desagradáveis ​​nos produtos e vê como as várias soluções se sustentam sob a barragem. A organização fez exatamente isso com 24 diferentes soluções de segurança focadas no consumidor no final de novembro, e apenas uma dessas soluções não atendeu ao padrão de certificação do AV-Test: Microsoft Security Essentials para Windows 7.

Aquele sem um logotipo de certificação ? É MSE.

A MSE realmente fez um trabalho decente para combater vírus conhecidos no teste, mas o programa de segurança forneceu pouquíssima segurança em caso de explorações de dia zero. Sua 64 pontuação de proteção contra os ataques de dia zero é um total de 25 pontos abaixo da média do setor.

O erro que não foi: código-fonte do Norton lançado

Parece assustador na superfície: Grupos de hackers desonestos gerenciados Para obter o código-fonte de um dos utilitários de segurança Norton mais populares da Symantec, despeje o código no Pirate Bay para o mundo dissecar. Ah, não! Agora, nada pode impedir os bandidos de passarem por cima das defesas que vêm pré-instaladas em jogos (aproximadamente) de sistemas in a box vendidos em todo o mundo - certo?

Errado. O código-fonte pertencia aos produtos Norton Utilities lançados em 2006, e os produtos atuais da Symantec já foram reconstruídos a partir do zero, sem código comum compartilhado entre os dois. Em outras palavras, o lançamento do código fonte de 2006 não representa qualquer risco para os assinantes modernos do Norton - pelo menos se você tiver atualizado seu antivírus na última meia década.