Дни новостей, беспокоящих весь Интернет, могут быть закрыты простым (но эффективным) компьютерным червем, но это не означает, что онлайн-безопасность больше не является проблемой. Угрозы стали более сложными и, что еще хуже, теперь исходят из мест, которые большинство никогда бы не ожидали, таких как правительство. Вот 5 тяжелых уроков, которые мы узнали об онлайн-безопасности в 2013 году.
Правительство следит за тобой …
Конечно, самой большой темой разговоров о компьютерной безопасности в 2013 году стало то, что часть правительства Соединенных Штатов (прежде всего Агентство национальной безопасности) шпионит за гражданами без ограничений.
Согласно документам, просочившимся от бывшего сотрудника АНБ Эдварда Сноудена и подкрепленным другими источниками, такими как бывший сотрудник АНБ Уильям Бинни, американские разведывательные службы имеют доступ не только к телефонным записям и метаданным социальных сетей, но также могут использовать широкий спектр услуг, включая сотовые телефоны. звонки, электронные письма и онлайн-разговоры, либо посредством прямого прослушивания телефонных разговоров, либо путем вручения секретных ордеров.
Что это значит для тебя? Трудно сказать, потому что АНБ настаивает, что программа является секретом национальной безопасности. Хотя информаторы отмечают, что размер центров обработки данных АНБ подразумевает, что правительство записывает и хранит довольно большой объем видео- и аудиоданных, невозможно точно знать, что было записано и сохранено, пока американские шпионы продолжают чтобы бросить вызов общественности.
Вызывает беспокойство тот факт, что вы ничего не можете сделать, чтобы обеспечить конфиденциальность, поскольку степень, в которой он может быть скомпрометирован, и то, как он может быть скомпрометирован, известны лишь наполовину.
… И все остальные
Не только правительство заинтересовано в том, чтобы шпионить за людьми. Люди также могут использовать скрытое видео или аудио, взятые с компьютера жертвы. Часто она имеет меньше общего с мошенничеством, чем это имеет отношение к шалостям и порно, хотя два могут сходиться.
Подпольный мир наблюдения за ничего не подозревающими жертвами, называемый «крысами», был блестяще раскрыт в статье Ars Technica . Хотя включение веб-камеры человека и удаленная запись его часто воспринимаются как взлом, теперь это можно сделать с относительной легкостью, используя программы с такими именами, как Fun Manager. После того, как на компьютер жертвы был установлен спорщик, злоумышленники могут подключиться и посмотреть, что происходит.
Часто «то, что происходит» прямо означает шанс увидеть ничего не подозревающих женщин без одежды, хотя программное обеспечение может также использоваться для розыгрыша, как случайное открытие беспокоящих изображений, чтобы увидеть реакцию жертвы. В худшем случае крыса может напрямую перевести на шантаж, так как он захватывает смущающие или обнаженные изображения жертвы, а затем угрожает выпустить их, если им не заплатят выкуп.
Ваши пароли все еще не защищены
Безопасность пароля — это обычное дело, и на то есть веская причина. Пока единственная строка текста — это все, что стоит между миром и вашим банковским счетом, сохранение этого текста в секрете будет иметь первостепенное значение. К сожалению, компании, которые просят нас войти с паролем, не столь обеспокоены и теряют их с угрожающей скоростью.
Основным нарушением этого года стала любезность Adobe, которая потеряла более 150 миллионов паролей в результате огромной атаки, которая также (по мнению компании) позволила злоумышленникам завершить работу над кодом для программного обеспечения, которое все еще находится в разработке, и украсть информацию о счетах для некоторых клиентов. Хотя пароли были зашифрованы, все они были защищены с использованием устаревшего метода шифрования и того же ключа шифрования. Что означает, что их расшифровка была намного проще, чем следовало бы.
Хотя подобные нарушения уже случались ранее, Adobe является крупнейшим по количеству потерянных паролей, что показывает, что все еще есть компании, которые не относятся к безопасности всерьез. К счастью, есть простой способ узнать, были ли данные вашего пароля взломаны; просто зайдите на HaveIBeenPwned.com и введите свой адрес электронной почты.
Взлом это бизнес
Поскольку компьютеры стали более сложными, преступники, желающие использовать их в качестве средства для получения нелегальной прибыли, также стали более изощренными. Дни одинокого хакера, наглого выпускающего вирус, просто чтобы посмотреть, что происходит, заменили группы, которые работают вместе, чтобы заработать деньги.
Одним из примеров является Paunch, российский хакер, который возглавлял продажи комплекта эксплойтов, известного как Blackhole . Комплект, созданный Paunch и несколькими соучастниками, был разработан с использованием частично продуманной бизнес-тактики. Вместо того, чтобы пытаться придумать эксплойты нулевого дня самостоятельно, группа Паунча приобрела эксплойты нулевого дня у других хакеров. Затем они были добавлены в комплект, который продавался по подписке за 500-700 долларов в месяц. Часть прибыли была реинвестирована в покупку еще большего количества эксплойтов, что сделало Blackhole еще более способным.
Так работает любой бизнес. Продукт разрабатывается, и, в случае успеха, часть прибыли реинвестируется, чтобы сделать продукт лучше и, как мы надеемся, привлекательным для еще большего бизнеса. Повторите до богатого. К несчастью для Паунча, его схема была в конечном итоге разыскана российской полицией, и сейчас он находится под стражей.
Даже ваш номер социального страхования в нескольких кликах
Существование бот-сетей известно в течение некоторого времени, но их использование часто связано с относительно простыми, но массовыми атаками, такими как отказ в обслуживании. или спам по электронной почте, а не кража данных. Команда хакеров-подростков на русском языке напомнила нам, что они могут сделать больше, чем просто заполнить наши почтовые ящики рекламой Виагры, когда им удалось установить ботнет в крупных брокерах данных (таких как LexisNexis) и украсть объемы конфиденциальных данных.
Это привело к появлению «службы» под названием SSNDOB, которая продавала информацию о жителях США. Цена? Только пара долларов за базовую запись и до 15 долларов за полную проверку или проверку данных. Это верно; если вы являетесь гражданином США, ваш номер социального страхования и кредитная информация могут быть получены по цене, меньшей стоимости еды в The Olive Garden.
И это становится хуже. Помимо хранения информации, некоторые брокерские компании также используют ее для аутентификации. Вы, возможно, сталкивались с этим сами, если когда-либо пытались подать заявку на получение кредита только для того, чтобы вас встречали вопросы типа «Какой у вас был адрес пять лет назад?». Поскольку сами брокеры данных были скомпрометированы, на такие вопросы можно было ответить: легкость.
Вывод
2013 год не был хорошим годом для онлайн-безопасности. На самом деле, это был немного кошмар. Правительственный шпионаж, похищенные номера социального страхования, шантаж веб-камеры незнакомцами; многие представляют их как сценарии наихудшего случая, которые могут произойти только в самых экстремальных условиях, однако в этом году все вышеперечисленное оказалось возможным с удивительно небольшими усилиями. Надеемся, что в 2014 году будут предприняты шаги по решению этих вопиющих проблем, хотя я лично сомневаюсь, что нам так повезет.
Изображение предоставлено: Flickr / Shane Becker , Flickr / Steve Rhodes