Car-tech

2012年最悪のセキュリティー悪用、失敗、失業

愚か者と彼の弱いp @ $$ w0rdは間もなく根付くだろう。

堅実なセキュリティツールボックスはあなたの防衛の中心を形成するはずですが、あなたはまた必要となりますあなたの基本的な行動を検討する。たとえば、漏れたLinkedInパスワードは、特定の英数字の組み合わせでは、使用するすべてのソーシャルメディアアカウントではなく、その特定のアカウントのドアが開かれるだけです。二要素認証は、起こる前に違反を止めることができます。そして、あなたのパスワードは吸うのですか?

私はあなたを恐れるつもりはありません。むしろ、デジタル時代に必要な予防措置に目を向けたいと思っています。これは最大のセキュリティ悪用、失業、2012年の失敗などで証明されています。「Twasは悪者のバナー年。

[その他の情報:Windows PCからマルウェアを削除する方法]

Honanハック攻撃

物理的バックアップが不足しているため、Honanの災害が拡大しました。

2012年の最高のプロファイルハッキングには、または払い出された支払情報の雪崩が含まれる。いいえ、セキュリティ上のハイライト - または2012年の暗い - 1人の男の叙事詩的なハッキング:ワイヤーライターMat Honan。

1時間の間、ハッカーはHonanのAmazonアカウントにアクセスし、Googleを削除しましたAppleのデバイスの三重を一掃し、最終的に最終的な目標を達成したハッカーたちに至りました.HonanのTwitterハンドルの制御権を握っています。なぜすべての破壊? @mat Twitterハンドルの3文字のステータスは明らかに非常に切望されている賞です。 (暴力団はアカウントが一時的に中断される前にいくつかの人種差別的嫌がらせや同性愛者のつぶやきを掲示した。)

災害は、ホーナンの最終デイジーチェーンクリティカルアカウントでセキュリティスヌースによって可能になった。いくつかの電子メールアカウントで同じ基本的な名前付けスキームと、AmazonやAppleのアカウントセキュリティプロトコルが競合しています。ハッカーはいくつかの優れたファッションソーシャルエンジニアリングの助けを借りて利用しました。ほとんどの人は、おそらくHonanが行ったのと同じ基本的な(読んだ:怠惰な)セキュリティ慣行を採用しています。幸いにも、PCWorldは既に最大のデジタルセキュリティホールを埋める方法を説明しています。

Flameウイルス

Flameウイルスはそのコードからその名前が付けられています。

2010年までに追跡されましたが、2012年5月炎症ウイルスは複雑なコードベースとエジプト、シリア、レバノン、スーダン、イランなどの中東諸国のスパイ活動ツールとして主に使用されている政府主導のStuxnetウイルスと著しく類似しています。

Flameがシステムに入り込むと、コンピュータの近くで起こっているSkypeの会話や音声の録音、スクリーンショットのスナップ、ネットワーク接続のスヌープ、すべてのキー操作やデータのログを保存できるモジュールがインストールされました入力ボックスに入力します。つまり、Flameは収集したすべての情報をアップロードしてサーバーを制御し、制御します。カスペルスキーの研究者がFlameの存在を断ち切った直後に、ウイルスの作成者は感染したコンピュータからソフトウェアを抹消するための殺害命令を出した。

ホテルのドアを開ける自宅のツール50ドル

7月のBlack Hat Securityカンファレンスでは、 BrociousはOnity社製の電子ドアロックを半信半に開くことができるデバイスを発表しました。オニティロックは、ハイアット、マリオット、IHG(ホリデイインとクラウンプラザの両方を所有)などの有名なチェーンを含む、世界中の数千のホテルの400万戸のドアにあります。 Arduinoマイクロコントローラをベースとし、50ドル未満で組み立てられたこのツールは、ポケットチェンジやコーディングスキルを備えたどんな詐欺師によっても構築でき、テキサス州のホテルの部屋に侵入するために使用されている同様のツールの報告も少なくとも1件あります。 >ArduinoArduino:ハックのオープンソースの心

恐ろしいもの、確かに。おそらくもっと心配していたのは、基本的には「ポートにプラグを差し込んでネジを交換する」という状況に対するOnityの対応でした。

同社は最終的にこの脆弱性に対する実際の解決策を開発しましたが、影響を受ける回路基板Onityはそのためのコストを抑えることを拒否しています。 12月のArsTechnicaのレポートによれば、同社はテキサス州の犯罪行為の後に、取締役会の補充措置を取る意思があるかもしれないと示唆しているが、Onityは11月30日

日現在、これらのプラスチックプラグを含めて世界中のホテルに提供しています。言い換えれば、この脆弱性は依然として非常に広まっています。エピックは失敗しました。千回の死による死今年は、2011年のプレイステーションネットワークのテイクダウンの大規模なデータベース侵害は見られませんでしたが、春と夏の間に、 。 6.5百万件のLinkedInパスワードの解読が最も顕著なハッキングであったかもしれないが、150万件以上のeHarmonyパスワード、Yahoo Voiceログイン資格450,000件、不特定多数のLast.fmパスワード、および完全な数百人のNvidiaフォーラムユーザーのログイン情報とプロフィール情報。私は続けることができるが、あなたはポイントを得る。

テイクアウトは何ですか?ウェブサイトを信頼してパスワードを安全に保つことはできないため、サイトごとに異なるパスワードを使用して、ハッカーが特定のアカウントのログイン資格情報をパズルアウトすると被害を最小限に抑える必要があります。

Dropboxがガードをドロップする

DropboxDropboxの「オープンボックス」ロゴが2012年にパスワードを再利用した人にもあてはまることが判明しました。

Dropboxのユーザーの中には、受信トレイに大量のスパムを受信して​​いることに気付き始めた人がいました。最初の拒否と深い掘り下げの後、Dropboxは、ハッカーが従業員のアカウントを侵害し、ユーザーの電子メールアドレスを含む文書にアクセスしたことを発見しました。おっとっと!被害は軽微であったが、顔の卵は大規模であった

。同時に、非常に少数のユーザーがDropboxアカウントを外部から積極的に壊してしまった。調査の結果、被害者が複数のウェブサイトで同じユーザー名とパスワードの組み合わせを再利用していたため、ハッカーがアカウントにアクセスしたことが明らかになりました。他のサービスの違反でログインクレデンシャルが漏洩した場合、ハッカーはDropboxアカウントのロックを解除するために必要なすべてを持っていました。

Dropboxの悲しみは、異なるサービスに別々のパスワードを使用する必要性と、あなたはまだ完全に雲を信じることはできません。

サウスカロライナのSSNの何百万もが暗号化されていますが、政府が基本的なセキュリティプリンシパルに従えばいいと思います。

>大規模な10月のデータ違反が発生した結果、ハッカーは、サウスカロライナ州の市民約360万人の社会保障番号を取得しました。これは、わずか460万人の住民が住んでいます。 IRSは、具体的に

州に税申告書でSSNを暗号化するよう要求していません。サウスカロライナ州の市民の借方とクレジットカードの詳細は、デジタルヒストリーでもスワップされていました。

ほとんどの は暗号化されていましたが、カードの詳細がプレーンテキスト形式で盗まれた16,000人の人々の慰めはほとんどありません。 Skypeの大きなセキュリティ上の欠陥

9月11日、Skypeユーザーは、アカウントに関連付けられた電子メールアドレスを知っている限り、誰かがSkypeアカウントにアクセスすることを許可した悪用を発見した後、一時的にアカウントのパスワードリセットを要求する能力を失った。アカウントのパスワードではなく、セキュリティの質問ではなく、単純な電子メールアドレスだけである。 Skypeはすぐに穴を開けるが、公衆の目を引っ張ったが、損傷はすでに終わっていた。この脆弱性はロシアのフォーラムで浮かび上がっていて、シャットダウンされる前に野生で活発に使われていました。 ハッカーは150万件のクレジットカード番号を盗みます

4月には、政府機関、金融機関、および世界中で約100万のグローバル店舗で使用されている支払い処理サービスであるグローバルペイメントズ(Global Payments)のデータベースから。

幸いにも、違反はかなり含まれていました。グローバルペイメントはハッキングの影響を受けるカード番号を特定できました。盗まれたデータには実際のカード番号と有効期限、カード所有者名や個人識別情報は含まれていませんでした。しかし、ヒットは続けられた。

Microsoft Security EssentialsはAV-Testの認証に失敗しました。

これは恥ずかしいことではありません。 AV-Testは、独立系の情報セキュリティ機関であり、そこにあるトップマルウェア製品をすべて定期的に切り上げ、その製品で多くの不満を抱き、さまざまな解決策がどのように萎縮するかを見ています。 11月末には24種類の消費者重視のセキュリティソリューションを使用しただけで、AV-Testの認定基準であるWindows 7用のMicrosoft Security Essentialsには合致しませんでした。

認定ロゴなし?それはMSEです。

MSEは実際にテストで有名なウイルスに取り組んでまともな仕事をしましたが、セキュリティプログラムはゼロデイ攻撃に直面してもほとんど、まったく

セキュリティ を提供しませんでした。 <0 Nortonのソースコードがリリースされた それは表面上恐ろしく聞こえる:不正なハッカーのグループが管理しているシマンテックの人気のあるノートンセキュリティユーティリティのソースコードを入手し、その後、世界中の海賊版のコードを解読しました。ああ、いいよ!今や、世界中で販売されている箱入りシステムのガジリオ(約)にあらかじめインストールされている防御を越えて、悪党の人々が暴走するのを防ぐことはできません。

間違っています。ソースコードは2006年にリリースされたNorton Utilities製品に属していました。シマンテックの現在の製品は以来、両者で共通のコードはなく、初めから再構築されています。言い換えれば、過去半世紀にアンチウィルスをアップデートした場合、2006年のソースコードのリリースは、現代のノートン加入者にいかなるリスクももたらしません。