Eksploitasi keamanan terburuk 2012, gagal dan blunder

Orang bodoh dan lemahnya p @ $$ w0rd segera berakar, tetapi jika 2012 telah membuktikan apa-apa, itu bahkan jiwa yang paling berhati-hati yang perlu berhati-hati untuk melipatgandakan kebawah. tentang praktik perlindungan mereka, dan berpikir tentang cara terbaik untuk mengurangi kerusakan jika yang terburuk terjadi di dunia kita yang semakin terkoneksi dengan awan.

Kotak alat keamanan yang solid harus membentuk jantung pertahanan Anda, tentu saja, tetapi Anda juga perlu untuk mempertimbangkan perilaku dasar Anda. Misalnya, kata sandi LinkedIn yang bocor tidak terlalu membahayakan jika kombinasi alfanumerik tertentu hanya membuka pintu ke akun tertentu, bukan setiap akun media sosial yang Anda gunakan. Otentikasi dua faktor dapat menghentikan pelanggaran sebelum terjadi. Dan apakah password Anda menyedot?

Saya tidak mencoba menakut-nakuti Anda. Sebaliknya, saya tertarik untuk membuka mata Anda terhadap jenis tindakan pencegahan yang diperlukan dalam era digital - sebagaimana dibuktikan oleh eksploitasi keamanan terbesar, kesalahan, dan kegagalan 2012. 'Sungguh tahun spanduk untuk orang-orang jahat.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Serangan hack Honan

Kejadian Honan diperbesar oleh kurangnya cadangan fisik.

Peretasan profil tertinggi tahun 2012 tidak melibatkan jutaan pengguna atau longsoran informasi pembayaran yang dicuri. Tidak, sorotan keamanan - atau apakah lowlight? -dari 2012 adalah hacking epik seorang pria lajang: Penulis kabel Mat Honan.

Selama satu jam, peretas memperoleh akses ke akun Amazon Honan, menghapus Google-nya akun, dan secara remote menghapus trionya perangkat Apple, yang berpuncak pada peretas akhirnya mencapai tujuan akhir mereka: merebut kendali pegangan Twitter Honan. Mengapa semua kehancuran? Karena status tiga huruf @mat Twitter menangani tampaknya membuatnya menjadi hadiah yang sangat didambakan. (The malcontents memposting beberapa tweet rasis dan homophobia sebelum akun itu ditangguhkan sementara.)

Kehancuran itu semua dimungkinkan oleh snafus keamanan pada akun kritis akhir daisy-chaining Honan, kurangnya aktivasi otentikasi dua faktor, menggunakan skema penamaan dasar yang sama di beberapa akun email dan protokol keamanan akun yang bentrok di Amazon dan Apple, yang dimanfaatkan para peretas dengan bantuan rekayasa sosial yang baik.

Bagian yang paling menakutkan? Kebanyakan orang mungkin menggunakan praktik keamanan dasar yang sama (baca: longgar) yang dilakukan Honan. Untungnya, PCWorld telah menjelaskan cara memasang lubang keamanan digital terbesar.

Virus Flame

Virus Flame mengambil namanya dari kodenya.

Terlacak sejauh 2010 tetapi hanya ditemukan pada Mei 2012, virus Flame memiliki kesamaan yang mencolok dengan virus Stuxnet yang disponsori pemerintah, dengan basis kode yang kompleks dan penggunaan utama sebagai alat spionase di negara-negara Timur Tengah seperti Mesir, Suriah, Lebanon, Sudan, dan (paling sering) Iran.

Setelah Flame menenggelamkan kaitnya ke dalam sistem, ia memasang modul yang dapat, antara lain, merekam percakapan Skype atau audio apa pun yang terjadi di dekat komputer, cuplikan tangkapan layar, mengintip koneksi jaringan, dan menyimpan log semua penekanan tombol dan data apa pun masuk ke kotak input. Ini jahat, dengan kata lain-dan Flame mengunggah semua informasi yang dikumpulkannya untuk memerintahkan dan mengendalikan server. Tak lama setelah peneliti Kaspersky mengaduk-aduk keberadaan Flame, pembuat virus mengaktifkan perintah membunuh untuk menghapus perangkat lunak dari komputer yang terinfeksi.

Alat homebrew seharga $ 50 yang membuka pintu hotel

Pada konferensi Black Hat Security pada bulan Juli, peneliti Cody Sadar meluncurkan perangkat bisa semi-rela membuka kunci pintu elektronik yang dibuat oleh Onity. Kunci kehidupan ditemukan di 4 juta pintu di ribuan hotel di seluruh dunia, termasuk jaringan berprofil tinggi seperti Hyatt, Marriott, dan IHG (yang memiliki kedua Holiday Inn dan Crowne Plaza). Berbasis di sekitar mikrokontroler Arduino dan dirakit kurang dari $ 50, alat ini dapat dibangun oleh penjahat apapun dengan perubahan saku dan beberapa keterampilan pengkodean, dan setidaknya ada satu laporan dari alat serupa yang digunakan untuk masuk ke kamar hotel di Texas.

ArduinoArduino: Jantung sumber terbuka dari peretasan.

Hal-hal menakutkan, pastinya. Mungkin yang lebih mengkhawatirkan adalah respon Onity terhadap situasi, yang pada dasarnya "Letakkan steker di atas port dan ubah sekrupnya."

Perusahaan akhirnya mengembangkan solusi sebenarnya untuk kerentanan, tetapi melibatkan penggantian papan sirkuit yang terpengaruh. kunci-dan Onity menolak untuk membayar biaya untuk melakukannya. Sebuah laporan ArsTechnica Desember menunjukkan perusahaan mungkin lebih bersedia untuk mensubsidi dewan pengganti di bangun dari foya kejahatan Texas, meskipun pada 30 November ^th , Onity hanya menyediakan total 1,4 juta "solusi untuk kunci "-termasuk colokan plastik-ke hotel secara global. Dengan kata lain, kerentanannya masih sangat meluas. Epic gagal.

Kematian dengan seribu pemutusan

Tahun ini tidak melihat pelanggaran basis data besar-besaran di jaringan PlayStation Network tahun 2011, tetapi serangkaian penetrasi yang lebih kecil datang dengan cepat dan marah sepanjang musim semi dan musim panas. Meskipun rilis 6,5 juta hashed password LinkedIn mungkin merupakan hack yang paling penting, itu didukung oleh posting lebih dari 1,5 juta hash password eHarmony, 450.000 login kredensial Yahoo Voice, sejumlah password Last.fm yang tidak ditentukan, dan penuh login dan informasi profil dari ratusan pengguna forum Nvidia. Aku bisa terus berjalan, tetapi kamu mengerti maksudnya.

Apa yang bisa dilakukan? Anda tidak dapat mempercayai situs web untuk menjaga kata sandi Anda tetap aman, jadi Anda harus menggunakan kata sandi yang berbeda untuk situs yang berbeda untuk meminimalkan potensi kerusakan jika peretas berhasil memecahkan kredensial info masuk Anda untuk akun tertentu. Lihat panduan kami untuk membuat kata sandi yang lebih baik jika Anda memerlukan beberapa petunjuk.

Dropbox menjatuhkan pengawalnya

Logo "kotak buka" DropboxDropbox terbukti sangat benar bagi orang yang menggunakan kembali kata sandi pada tahun 2012.

Kembali pada bulan Juli, beberapa pengguna Dropbox mulai menyadari bahwa mereka menerima banyak spam di kotak masuk mereka. Setelah beberapa penolakan awal diikuti oleh penggalian yang lebih dalam, Dropbox menemukan bahwa peretas telah menyusupi akun karyawan dan memperoleh akses ke dokumen yang berisi alamat email pengguna. Ups! Kerusakannya kecil, tetapi telur di wajahnya besar.

Pada saat yang sama, sejumlah kecil pengguna telah akun Dropbox mereka secara aktif dibobol oleh sumber luar. Investigasi mengungkapkan bahwa peretas memperoleh akses ke akun karena korban menggunakan kembali kombinasi nama pengguna / kata sandi yang sama di beberapa situs web. Ketika kredensial masuk dibocorkan dalam pelanggaran di layanan lain, peretas memiliki semua yang diperlukan untuk membuka kunci akun Dropbox.

Kesengsaraan Dropbox menyoroti-lagi-kebutuhan untuk menggunakan kata sandi terpisah untuk layanan yang berbeda, serta fakta bahwa Anda belum bisa mempercayai cloud sepenuhnya. Anda dapat menggunakan cloud security di tangan Anda sendiri dengan bantuan alat enkripsi pihak ketiga.

Jutaan SSN South Carolina mencuri

Berbicara tentang enkripsi, alangkah baiknya jika pemerintah mengikuti prinsip keamanan dasar.

Setelah penghancuran data besar-besaran di bulan Oktober mengakibatkan seorang hacker mendapatkan nomor jaminan sosial dari 3,6 juta warga Carolina Selatan yang sedang merosot - di sebuah negara bagian dengan hanya 4,6 juta penduduk! - pejabat negara mencoba menempatkan kesalahan di kaki IRS. IRS tidak secara spesifik mengharuskan negara untuk mengenkripsi SSN dalam arsip pajak, Anda lihat. Jadi South Carolina tidak - meskipun berencana untuk mulai sekarang, melihat ke belakang menjadi 20/20 dan semuanya.

Pada sisi yang agak positif, rincian kartu debit dan kredit 387.000 warga Carolina Selatan juga digesek dalam pencurian digital dan sebagian besar dari yang dienkripsi, meskipun itu mungkin sedikit pelipur lara untuk 16.000 orang yang rincian kartu dicuri dalam bentuk teks biasa.

Kekurangan keamanan besar Skype

Prosedur pemulihan akun Laks mengancam pengguna Skype di November.

Pada bulan November, pengguna Skype kehilangan kemampuan untuk meminta pengaturan ulang kata sandi untuk akun mereka setelah peneliti mengidentifikasi eksploit yang memungkinkan siapa pun untuk mendapatkan akses ke akun Skype selama orang tersebut mengetahui alamat email yang terkait dengan akun tersebut. Bukan kata sandi akun, bukan pertanyaan keamanan - cukup alamat email sederhana saja.

Skype dengan cepat memasang lubang ketika tertangkap mata publik, tetapi kerusakan sudah dilakukan. Kerentanan itu beredar di forum Rusia dan aktif digunakan di alam liar sebelum ditutup.

Peretas mencuri 1,5 juta nomor kartu kredit

Pada bulan April, peretas berhasil "mengekspor" 1,5 juta nomor kartu kredit dari database Global Payments, layanan pemrosesan pembayaran yang digunakan oleh lembaga pemerintah, lembaga keuangan, dan sekitar 1 juta etalase global, antara lain.

Untungnya, pelanggaran itu cukup terkendali. Pembayaran Global dapat mengidentifikasi nomor kartu yang terpengaruh oleh peretasan, dan data yang dicuri hanya berisi nomor kartu dan tanggal kedaluwarsa yang sebenarnya, bukan nama pemegang kartu atau informasi identitas pribadi apa pun. Hits terus berdatangan. Pada bulan Juni, Global Payments mengumumkan bahwa peretas mungkin telah mencuri informasi pribadi orang-orang yang mengajukan permohonan untuk akun pedagang dengan perusahaan.

Microsoft Security Essentials gagal sertifikasi AV-Test

Yah, tidakkah ini memalukan. AV-Test adalah lembaga keamanan informasi independen yang secara teratur mengumpulkan semua produk antimalware teratas yang ada di luar sana, melemparkan sejumlah besar kejahatan pada produk-produk tersebut, dan melihat bagaimana berbagai solusi bertahan di bawah rentetan yang melayu. Organisasi melakukan hal itu dengan 24 solusi keamanan yang berfokus pada konsumen pada akhir November, dan hanya satu dari solusi tersebut gagal memenuhi standar sertifikasi AV-Test: Microsoft Security Essentials untuk Windows 7.

Yang satu tanpa logo sertifikasi ? Ini MSE.

MSE benar-benar melakukan pekerjaan yang layak menangani virus terkenal dalam ujian, tetapi program keamanan yang disediakan sedikit mengecewakan, baik, keamanan dalam menghadapi eksploitasi zero-day. Skor perlindungan 64 terhadap serangan zero-day tersebut adalah 25 poin lebih rendah dari rata-rata industri.

Kesalahan yang tidak terjadi: Norton source code dirilis

Kedengarannya menakutkan di permukaan: Grup peretas jahat yang dikelola untuk mendapatkan kode sumber untuk salah satu utilitas keamanan Norton Symantec yang populer, lalu membuang kode di Pirate Bay agar dunia dapat membedah. Oh tidak! Sekarang, tidak ada yang bisa menghentikan orang-orang jahat berlari tanpa kendali di belakang pertahanan yang datang terinstal pada gajillions (kira-kira) sistem kotak yang dijual di seluruh dunia-kanan?

Salah. Kode sumber termasuk produk Norton Utilities yang dirilis pada tahun 2006, Anda lihat, dan produk Symantec saat ini telah dibangun kembali dari nol, tanpa kode umum yang dibagikan di antara keduanya. Dengan kata lain, rilis kode sumber 2006 tidak menimbulkan risiko apa pun bagi pelanggan Norton modern-setidaknya jika Anda telah memperbarui antivirus Anda dalam setengah dekade terakhir.