E-mail Perubahan Iklim yang Diretas Menyorot Kekhawatiran Keamanan

Perdebatan tentang perubahan iklim - dan apa fakta versus apa yang sesuai dengan agenda satu pihak atau yang lain - sedang berkecamuk di bangun dari e-mail yang diretas yang menuduh fakta-fakta ditutup-tutupi. Saya akan membiarkan musuh-musuh yang mengubah iklim menentang hal itu, tetapi mari kita lihat lebih dekat pada aspek keamanan e-mail dan bagaimana penyerang dapat memperoleh pesan-pesan ini.

Server di Pusat Penelitian Iklim Hadley di Inggris Kerajaan dilanggar dan penyerang dapat memperoleh ribuan pesan e-mail dan dokumen sensitif yang kemudian diunggah ke server FTP di Rusia dan sejak itu telah dibagikan dan dianalisis secara publik di seluruh dunia.

Pejabat belum mengomentari keaslian data, meskipun setidaknya sebagian dari itu telah dikonfirmasi sebagai sah. Dalam sebuah pernyataan, pejabat melakukan konfirmasi pelanggaran, meskipun: "Kami menyadari bahwa informasi dari server di satu area universitas telah tersedia di situs web publik."

[Bacaan lebih lanjut: Bagaimana cara menghapus malware dari Anda Windows PC]

Tentu saja, ini bukan pertama kalinya informasi yang berpotensi merusak telah bocor karena hack email. Anda mungkin ingat akun email Yahoo pribadi Sarah Palen yang diretas selama kampanye Presiden tahun lalu.

Twitter telah menjadi korban dua kali tahun ini. Pertama, pada bulan Januari beberapa akun Twitter terkemuka dikompromikan, yang mengarah ke pesan palsu seperti yang diduga berasal dari pembawa acara CNN Rick Sanchez yang mengatakan "saya sedang dalam masalah besar sekarang mungkin tidak akan masuk kerja hari ini." Kemudian pada bulan Mei seorang penyerang dapat berkompromi dokumen internal dan informasi gaji karyawan dan mempostingnya ke Web.

Serangan-serangan ini sayangnya tidak semua yang terisolasi atau unik. Dalam kasus peretasan Palin, dan setidaknya salah satu dari pelanggaran Twitter, tautan lemah dapat dilacak kembali ke kontrol keamanan pada layanan e-mail berbasis Web. Penyerang dapat mengeksploitasi sistem di tempat bagi pengguna untuk memulihkan nama pengguna dan sandi yang hilang, dan alih-alih menggunakannya untuk mendapatkan akses yang tidak sah.

Pelanggaran perubahan iklim Hadley, dan kompromi dokumen sensitif di Twitter, membuktikan mengapa Penting untuk mengenkripsi data - bahkan data saat istirahat di server internal yang tidak dimaksudkan untuk diekspos ke Internet publik. Peningkatan kontrol keamanan untuk mencegah akses yang tidak sah di tempat pertama akan menyenangkan juga, tetapi mengenkripsi data mengalahkan semua yang lain dan hampir memastikan itu tidak akan dikompromikan.

Ben Rothke, konsultan keamanan senior di BT Global Services mencatat bahwa ini jenis serangan hanyalah badai yang sempurna, di mana hacktivist, broadband, keamanan yang buruk dan penyimpanan murah bertemu.

Semua pelanggaran, hacks, kompromi, dan serangan menyoroti poin lain juga - jika Anda menulisnya, merekamnya, memotret itu, atau dengan cara apapun mendokumentasikan atau mengarsipkan sesuatu, berasumsi bahwa itu akan dilihat oleh masyarakat umum suatu hari nanti. Dengan jumlah penyimpanan digital yang hampir tak terbatas, dan sifat sosial komunikasi online, tidak mungkin menjamin data tidak akan pernah diungkapkan.

Saya tidak mengatakan 'langit jatuh' atau menyatakan bahwa keamanan telah mati. Dengan kata sandi yang kuat, praktik keamanan yang kuat, dan enkripsi yang memadai, sebagian besar data tidak akan pernah melihat cahaya hari. Namun, saya katakan bahwa mungkin informasi tersebut dapat diungkapkan meskipun Anda sudah berusaha sebaik-baiknya, dan bahwa Anda harus berpikir dua kali tentang apa yang Anda tulis dalam email atau posting di pembaruan status Facebook, jangan sampai itu menjadi senjata merokok. kerangka di lemari Anda.

Rothke mengatakan "Pesannya adalah bahwa setiap organisasi perlu memperhatikan keamanan dengan serius. Tetapi organisasi yang suka bertengkar atau mereka yang menyimpan data kontroversial, baik itu bank, kedutaan, pengembang sistem operasi, atau organisasi politik, harus ekstra rajin dalam mengamankan infrastruktur mereka. "

Pastikan Anda memiliki kontrol keamanan untuk mencegah akses yang tidak sah. Enkripsikan data sehingga tidak dapat dikompromikan bahkan jika kontrol keamanan gagal. Dan, pada akhirnya, jangan menulis hal-hal dalam e-mail yang Anda tidak ingin disiarkan di layar lebar di New York Times Square.

Berharap untuk yang terbaik, tetapi rencanakan yang terburuk. Seperti yang Rothke katakan, "Sampai mereka melakukan itu, Universitas East Anglia hanya akan menjadi salah satu dari banyak serangan semacam itu. Biasakanlah."

tweet Tony Bradley sebagai @PCSecurityNews, dan dapat dihubungi. di halaman Facebook.